Wie man hört, rollt wieder eine Abmahnwelle durch das Land
wegen angeblicher Verbreitung von urheberrechtlich geschütztem Material
via BitTorrent.
Anscheinend trifft es jeden im Leben wenigstens einmal, so jüngst auch mich.
Bevor jetzt irgendwelche Leute kommen mit:
„Passt halt auf, was du im Internet machst.“
So einfach ist es nicht.
Ich treibe keinen Unfug im Internet,
es reicht schon, irgendwem mal das WLAN-Passwort gegeben zu haben,
und dann kann mich irgendeiner meiner Gäste reinreiten.
Oder aber die Schnüffelsoftware spinnt.
Dazu in einem späteren Beitrag sicher mehr.
Ich würde zu dem Thema gerne verschiedene Aspekte erörtern
und würde mit dem Aspekt Datenschutz anfangen,
denn dazu finde ich im Internet kaum etwas.
Nach meinem Verständnis läuft es so ab:
Bei Digital Forensics oder ipoque
(beide wohl von Frank Stummer gegründet und heute zu Rohde&Schwarz gehörend)
läuft eine Software namens Peer-to-Peer Forensics System (= PFS).
Diese hängt sich als Benutzer u.a. in BitTorrent-Tauschbörsen
und schaut, ob dort jemand urheberrechtliche geschützte Filme anbietet.
Falls sie etwas findet, probiert sie es in ein paar Stunden noch einmal.
Wenn es dreimal klappt,
dann gehen die Abmahner mit der IP-Adresse des Tauschbörsenteilnehmers
zum Landgericht Köln
und lassen sich vom Internetprovider die Adresse des Kunden geben,
dem die IP-Adresse zum fraglichen Zeitpunkt zugeordnet war.
In diesem Gerichtsverfahren werde ich als Anschlussinhaber
nicht um Stellungnahme gebeten, ich bin da nur Objekt.
Dieser Gerichtsprozess findet nur zwischen den Abmahnern und dem Provider statt.
Welche Daten man dafür vorlegen muss,
damit das Landgericht Köln bereit ist,
den Internetprovider zur Herausgabe der Adresse zu verpflichten,
weiß ich nicht.
Die Daten,
die die Abmahner bei Abmahnung und bei Klage gegen das Abmahnopfer vorlegen,
sind meiner Meinung nach sehr dünn.
Auch dazu mehr in einem späteren Beitrag.
An die so ermittelte Postadresse senden die Abmahner ihre Abmahnung.
Danach senden sie noch ein paar Bettelbriefe.
Dann geht es zum Mahngericht
und am Ende erheben die Abmahner Schadenersatzklage vor dem Amtsgericht.
Die Abmahner und das Gericht gehen davon aus,
dass die Schnüffelsoftware PFS korrekt arbeitet.
Da ich selbst keine Filmchen in einer Tauschbörse angeboten habe,
kann ich noch auf die Mitnutzer meines WLANs verweisen.
Da nimmt dann die Datenschleuderei ihren Lauf.
Die Abmahner und das Gericht wollen detailliert
über Lebensverhältnisse von mir und meiner Nachbarschaft
und meinem Freundeskreis Auskunft haben.
Ob ich zur fraglichen Zeit anwesend war, wann ich Nachtruhe pflege,
mit wem ich zusammenwohne, wer bei mir regelmäßig zu Besuch ist,
welche Freunde ich an mein WLAN lasse, wie alt diese sind,
welche technischen Fähigkeiten diese besitzen,
welche Geschwindigkeit mein Internetzugang hat, usw. usw.
Selbst wenn ich die Klage erfolgreich abwehre,
haben die Abmahner mich und mein Umfeld schon sehr detailliert ausgeforscht.
Ich möchte mir gar nicht ausmalen,
wofür sich diese Daten alles missbrauchen lassen,
für fortgeschrittenen Enkeltrickbetrug
oder für weitere Abmahnungen taugen sie auf jeden Fall.
Das alles sieht schon stark nach Beweislastumkehr aus.
Die Abmahner nennen das aber mit Bezug auf den BGH „sekundäre Darlegungslast“.
Soll wohl heißen,
wenn die Abmahner dem Gericht ein paar Hashwerte mit Uhrzeiten
auf den Tisch knallen,
dann haben sie ihrer Meinung nach ihre „primäre Darlegungslast“ erfüllt.
Zwar muss der Abgemahnte streng genommen nicht beweisen,
dass er es nicht war, dieser Beweis kann ja prinzipiell nicht erbracht werden,
dennoch wird von ihm erwartet, Detektiv zu spielen und sein Umfeld auszuhorchen
und über seine Ermittlungsergebnisse penibel Auskunft zu geben.
Daher meine Frage an mich und euch:
Ist das, was die Abmahner da machen, überhaupt datenschutzrechtlich zulässig?
Das Internet ist voll von Beiträgen von Rechtsanwälten
zum Thema Filesharing, aber das Thema Datenschutz wird überall ausgespart.
Gehen wir ein paar Artikel aus der Datenschutzgesetzgebung durch:
Beginnen wir mit
§ 3 (1) Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG):
Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation
und ihre näheren Umstände, insbesondere die Tatsache,
ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war.
Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände
erfolgloser Verbindungsversuche.
Die näheren Umstände sind zu deutsch die Metadaten,
insbesondere die IP-Adresse, die Uhrzeiten
und die Bezeichnung der Daten, die über eine Tauschbörse ausgetauscht werden.
Für mich heißt das,
dass Digital Forensics eben nicht ohne meine Kenntnis
und Einwilligung mitschneiden darf,
welche Daten zu welchen Zeiten über meinen Internetanschluss angeboten werden.
Falls Digital Forensics der Meinung ist, dass es solche Daten sammeln muss,
dann müsste mich Digital Forensics nach Art. 14 (und Art. 13) DSGVO
darüber informieren,
dass meine Daten zum Zweck einer automatisierten Entscheidung erhoben
und genutzt werden - und zwar bevor dies geschieht.
Ich bin nicht darüber aufgeklärt worden,
habe keine Datenschutzerklärung erhalten, und gehe davon aus,
dass kein Abgemahnter je eine Datenschutzerklärung erhalten hat.
Ebenfalls nicht eingeholt hat Digital Forensics die Einwilligung
in die Datenverarbeitung nach Art. 7 DSGVO, schon gar keine freiwillige.
Meiner Meinung nach hat es schon seinen Grund,
dass verdeckte Ermittlungen nur vom Staat durchgeführt werden dürfen,
denn der unterliegt auch gewissen Kontroll- und Auskunftspflichten,
denen ein privater Ermittler wie Digital Forensics nicht unterliegt.
Ich denke, es ist tatsächlich nicht zuviel verlangt,
in Tauschbörsen die Teilnehmer vorher vor dem Mitschnitt zu warnen,
denn viele Tauschbörsenteilnehmer dürften gar nicht wissen,
dass sie an einer Tauschbörse teilnehmen.
Peertube ist für den unbedarften kaum von Videoplattformen zu unterscheiden,
die ausschließlich Download anbieten.
Und wie gesagt, die Unbedarftheit des Tauschbörsennutzers
wird ja nicht dem Filmegucker zum Verhängnis,
sondern dem Internetanschlussinhaber.
Nun sind Juristen ja kleinkariert.
Mal angenommen wir einigen uns darauf,
dass Digital Forensics mit dem heimlichen Mitschnitt der Tauschbörsendaten
Datenschutzverstöße begeht.
Was folgt aber daraus?
Kassieren sie einen Bußgeldbescheid
und verkaufen die Daten trotzdem an Abmahner weiter?
Im Strafrecht gibt es ja ein Beweisverwertungsverbot
für unrechtmäßig ermittelte Informationen.
Und im Zivilrecht?
Es gab vor zwei Jahren ein Urteil im Arbeitsrecht,
wo ein Unternehmen einer Angestellten einen Strick aus Uhrzeiten drehen wollte,
die ein Drehkreuz ohne Wissen der Mitarbeiter protokolliert hat.
Das Landesarbeitsgericht Sachsen hat damals entschieden
(06.07.2023 - 4 Sa 73/23)
dass kein berechtigtes Interesse an der Nutzung
datenschutzwidrig erhobenen Daten besteht.
So etwas bräuchten wir auch für Filesharing-Abmahnungen.
Noch ein Punkt:
Da Digital Forensics in großem Stil Daten aus Tauschbörsen fischt,
unterfällt das Projekt PFS sicher der Pflicht
zur Erstellung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO,
indem es heißt:
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen,
die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und
die ihrerseits als Grundlage für Entscheidungen dient,
die Rechtswirkung gegenüber natürlichen Personen entfalten
oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien
von personenbezogenen Daten gemäß Artikel 9 Absatz 1
oder von personenbezogenen Daten über strafrechtliche Verurteilungen
und Straftaten gemäß Artikel 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
So wie ich den Laden einschätze,
haben sie keine solche Datenschutzfolgenabschätzung erstellt.
Wenn sie das getan hätten,
dann wäre ihnen nämlich sicherlich aufgefallen,
dass es datenschutzmäßig weniger übergriffige Methoden gäbe,
um Verbreitung von urheberrechtlich geschütztem Material zu unterbinden.
Die Verwerter haben sich beispielsweise 2021
die Clearingstelle Urheberrecht geschaffen,
mit dem sie von Providern bestimmte Domänen sperren lassen können.
Die Verwerter können aber auch an BitTorrent-Tracker herantreten
und dort Hashes von geschütztem Filmmaterial entfernen.
Ich nehme an, dass die Verwerter diesen Weg nicht gehen,
weil sich mit Abmahnungen noch ein letztes Mal Geld aus Material pressen lässt,
für das sonst keiner mehr Geld ausgibt.
Vor Gericht gefragt,
über welchen BitTorrent-Tracker
überhaupt das behauptete Filmaterial angeboten worden sein soll,
haben sich die Abmahner sogar zu der Behauptung verstiegen,
dass bei der PFS-Ermittlung gar kein BitTorrent-Tracker angefragt worden sei.
Woher Digital Forensics dann seine Ermittlungsergebnisse haben will,
konnten sie aber auch nicht beantworten.
Zuletzt noch das Sahnehäubchen obendrauf:
Wir haben die Abmahner vor Gericht gefragt,
ob ein Mensch die Ermittlungsergebnisse des PFS überprüft.
Sprich:
Sitzt jemand bei Digital Forensics oder bei Waldorf Legal und versucht,
das behauptete Filmmaterial von dem behaupteten BitTorrent-Client
noch einmal abzurufen und überzeugt sich davon,
dass da wirklich urheberrechtlich geschütztes Material geliefert wird?
Jemand, den man auch als Zeugen vor Gericht befragen kann?
Die Abmahner haben darauf eine ausweichende Antwort gegeben.
Gehen wir also davon aus, dass das nicht passiert.
Wie will man aber jemals feststellen,
wie hoch die Fehlerrate dieses PFS ist,
wenn sich alle blind auf die Korrektheit dieser Software verlassen?
Wir wollen nicht vergessen,
dass der Bürger bereits heute durch die DSGVO
vor automatisierten Entscheidungen geschützt ist,
denn in Art. 22 heißt es:
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Die betroffene Person hat das Recht,
nicht einer ausschließlich auf einer automatisierten Verarbeitung -
einschließlich Profiling -
beruhenden Entscheidung unterworfen zu werden,
die ihr gegenüber rechtliche Wirkung entfaltet
oder sie in ähnlicher Weise erheblich beeinträchtigt.
Für mich heißt das ziemlich klar, dass es eben nicht zulässig ist,
Abmahnungen allein auf Grundlage von Ergebnissen
irgendeiner Software bei Digital Forensics zu versenden.
Problem ist, dass viele BGH-Urteile,
auf die sich die Abmahner stützen, von vor 2018 sind,
also von vor Auslaufen der Übergangsfristen bei der Einführung der DSGVO.
Meiner Meinung nach müsste man die ganze Abmahnerei
noch einmal unter dem Gesichtspunkt DSGVO vor deutschen Gerichten ausfechten
und man müsste die Abmahnungen auch mal den zuständigen Datenschutzbehörden
im Rahmen von DSGVO-Beschwerden vorlegen.
Das Bayerische Landesamt für Datenschutzaufsicht hat beispielsweise
im Jahr 2023 ein Bußgeld von 3,2 Mio Euro gegen ein Tech-Unternehmen verhängt,
welches ohne Einwilligung der Nutzer
deren Daten für Marketing-Maßnahmen verwendet hat
und damit gegen Art. 7 DSGVO verstoßen hat.
So ein Bußgeld wäre doch auch mal was für die Abmahner
oder für die Schnüffelsoftwarebetreiber.